GMRC - BPM-EXPO

1

Scherer / Fruth (Hrsg.)

Die digitale Transformation

von Normen, Richtlinien und Standards

- ISO 9001 (2015) (QM)

- ISO 19600 (2014) (Compliance)

- COSO I (2013) (Compliance)

- IDW PS 980 (2011) (Compliance)

- ISO 37001 (Anti-Korruption)

- ISO 31000 (2018) (Risk)

- IDW PS 981 (2017) (Risk)

- IDW PS 982 (2017) (IKS)

- IDW PS 983 (2017) (Revision)

- DIIR Nr. 3 (2016) (Interne Revision)

- PAS 99 (2012) (Integriertes Managemententsystem)

zielführend anwenden!

1. Auflage 2018

GMRC

3

Impressum:

Scherer / Fruth (Hrsg.)

Die digitale Transformation von Normen, Richtlinien und Standards

- ISO 9001 (2015) (QM)

- ISO 19600 (2014) (Compliance)

- COSO I (2013) (Compliance)

- IDW PS 980 (2011) (Compliance)

- ISO 37001 (2016) (Anti-Korruption)

- ISO 31000 (2018) (Risk)

- IDW PS 981 (2017) (Risk)

- IDW PS 982 (2017) (IKS)

- IDW PS 983 (2017) (Revision)

- DIIR Nr. 3 (2016) (Interne Revision)

- PAS 99 (2012) (Integriertes Managementsystem)

zielführend anwenden!

1. Auflage 2018

Herausgeber:

Prof. Dr. Josef Scherer

RiAG Klaus Fruth

Frischecker Str. 12, 94065 Waldkirchen

Deggendorf 2018

ISBN: 978-3-947301-13-3

4

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustim-

mung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sons-

tige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

© 2018 Prof. Dr. Josef Scherer und Klaus Fruth

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;

detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Wichtiger Hinweis:

Diesem Aufsatz „Die digitale Transformation von Normen, Richtlinien und Standards”

liegt das vertiefende Werk

Scherer / Fruth (Hrsg.), „Unternehmensführung 4.0“:

Integriertes Managementsystem (IMS) „on demand” mit Governance, Risk und Compliance

(GRC),

1. Auflage 2018,

als e-Book (Erscheinungstermin ca. 10/2018) zugrunde.

5

Scherer

Die digitale Transformation von Normen, Richtlinien und Stan-dards

1. Einführung

Nahezu jedes (Prozess-) Themenfeld eines Unternehmens / einer Organisation, wie z.B. Risiko-, Compliance-, Personal-, Einkaufs-, Vertriebs-, IT-, etc. -Management, ist mittlerweile nicht nur juristisch über Anforderungen aus Gesetzgebung, Rechtspre-chung und (internen) Richtlinien infiltriert1, sondern auch in vielzähligen Standards diverser Standard-Familien (ISO, COSO, IDW, DIIR, etc.) „genormt“.2

Fast täglich entstehen neue Anforderungen: Im Bereich von Gesetzgebung, Recht-sprechung, Stand der Technik und Richtlinien seien exemplarisch die DSGVO (2018) auf europäischer und das BDSG (2018) auf deutscher Ebene u. a. mit der Forderung, den „Stand der Technik“ einzuhalten, genannt. Dies zeitigt Auswirkungen auf die in-terne IT-Asset-Benutzungs-, Informationssicherheits- und Datenschutzrichtlinie.

Der Bundesgerichtshof nahm 20173 unter Verweis auf wissenschaftliche Literatur aus-führlich Stellung zu den Anforderungen an ein enthaftendes Compliance-Manage-mentsystem und das Bundesverfassungsgericht stellte 2018 mit einem Beschluss den Anonymitätsschutz bei Compliance-Ombudsleuten vor neue Herausforderungen4.

Im Bereich der Standards erschien im März 2018 die ISO 31000:2018 für Risikoma-nagement-Systeme.

Da sie nicht zertifizierbar, etwas „generisch formuliert“ und ohne „High Level Structure“ strukturiert ist, erarbeitet die Austrian Standards International eine wohl 2019 erschei-nende zertifizierbare und sehr pragmatische ausgestaltete ÖNORM 4900 ff..

Das Deutsche Institut für Normung (DIN) als Mitglied der ISO überarbeitet derzeit die ISO 19600 für Compliance-Managementsysteme in Richtung Zertifizierbarkeit und ent-wirft Standards für „Governance of Organizations“ (Unternehmensführung) und Whistleblowing5.

Neu erschienen 2018 die ISO / DIN 45001 zur Arbeitssicherheit und internationale Nachhaltigkeitsstandards.

Das Institut der Wirtschaftsprüfer in Deutschland komplettierte unlängst die IDW PS-980er-Reihe zu einem „Insel-Paket“ für Compliance (PS 980), Risikomanagement (PS 981), Internes Kontrollsystem (IKS) (PS 982) und Revision (PS 983).

Diese Aufzählung ließe sich noch erschreckend erweitern.

1Scherer, Compliance beherrscht die klassische Betriebswirtschaft – Buchbeitrag in: Scherer/Fruth

(Hrsg.), Anlagenteil zu Governance-Management, Band II (Standard & Audit), 2016. 2Vgl. Scherer, Die „Welt(en) der Überwacher“: Enormes Potenzial für Effektivität, Effizienz und

Wertbeiträge bei Governance, Risk und Compliance, FIRM Jahrbuchbeitrag, 2017, S. 79-81 (www.gmrc.de).

3 Urteil des BGH vom 9.5.2017, AZ. 1 StR 265/16 4 BVerfG, Beschluss vom 27.6.2018 – 2 BvR 1405/17, …: Es ging hier um die Rechtmäßigkeit der Beschlagnahme von Akten einer im Zusammenhang mit dem Diesel-Abgasskandal mit internen Ermitt-lungen beauftragten ausländischen Kanzlei durch die Staatsanwaltschaft. 5 Der Verfasser ist Mitglied in den genannten Gremien.

6

All diese Normen, Richtlinien und Standards enthalten Anforderungen an eine pflicht-gemäße, gewissenhafte Leitung von Unternehmen und sonstigen Organisationen, sind über Assessments diverser Arten (Testierungen, Zertifizierungen, Audits, internal investigations, Revisions-Prüfungen, etc.) bzgl. Umsetzungsreifegrad zu bewerten und stellen bei Missachtung Haftungsfallen für Management und Mitarbeiter und die Quel-len vielfältiger Risiken dar.

Deutlich wird aufgrund dieser kontinuierlichen internen und externen Veränderungen, dass ein starres Organisationssystem zum Scheitern verurteilt ist.

Nur ein äußerst flexibles System, das es ermöglicht, schnell, ohne fremde Hilfe und kostengünstig Prozessabläufe und die vielen damit vernetzten Komponen-ten einer Organisation an neue Anforderungen anzupassen, kann effektiv sein.

Angemerkt sei, dass Standards nicht die primäre Orientierungsgröße für Unterneh-men/Organisationen darstellen:

Abbildung 1: Prioritätenkaskade.

Zunächst sind die zwingenden Vorgaben vom Gesetzgeber und Rechtsprechung und ergänzend der „anerkannte Stand von Wissenschaft und Praxis“ maßgeblich, sofern der Gesetzgeber nicht eine höhere Entwicklungsstufe vorschreibt: So wird z.B. im IT-Sicherheitsgesetz, im Bundesdatenschutzgesetz (n. F. 2018) und in der Datenschutz-grundverordnung der „Stand der Technik“ als höhere Entwicklungsstufe unter den „Technikklauseln“ gefordert.6

6Vgl. Scherer, Der Einfluss von Standards, Technikklauseln und des „Anerkannten Standes von

Wissenschaft und Praxis“ auf Organhaftung und Corporate Governance – am Beispiel der ISO 19600 (2015) Compliance-Managementsystem, CCZ 2015, S. 9-17 (www.gmrc.de).

7

Die Abgrenzung von „Stand der Technik“ zu „Anerkannten Regeln“ etc. hat das BVerfG geklärt:

Abbildung 2: Einordnung und Definition von „Technikklauseln“ nach BVerfG (Kalkar-Entscheidung)

Sofern Standards den geforderten Entwicklungsstand widerspiegeln oder „strenger“ sind, ist es sinnvoll, sich angemessen an passenden Standards zu orientieren. Falls aber Standards weniger oder gar Widersprechendes zum anerkannten Stand oder Ge-setz/Rechtsprechung vorgeben, ist es gefährlich, sie umzusetzen:7

Beispiels-Fall: „Eishockey-Puck und Sicherheitsstandards“8:

„Besteht trotz Einhaltung der Vorgaben der maßgeblichen DIN-Normen die nahelie-gende Möglichkeit, dass (…) Rechtsgüter anderer verletzt werden können, so ist der zur Verkehrssicherung Verpflichtete gehalten, die erkennbare Gefahrenquelle im Rahmen der Zumutbarkeit zu beseitigen, insbesondere dann, wenn die Veranstaltung die nicht nur geringe Wahrscheinlichkeit eines Unfalls mit der Gefahr nicht unerhebli-cher Verletzungen mit sich bringt.“

In den Ausführungen des Gerichts finden sich moderne Methoden der Risikobewer-tung mit den Komponenten „Eintrittswahrscheinlichkeit“, „Erkennbarkeit“ und „Scha-denspotenzial“!

7Vgl. Scherer, Wieviel Standard braucht der Mensch? – Zum Anwendungsbereich von Standards, 2018

(www.gmrc.de). 8 Hinweisbeschluss des OLG Nürnberg vom 6.7.2015, Az. 4 U 804/15.

Forschung

Suche nach künftigen Erkenntnissen

Fors

chu

ng

3. Stand von Wissenschaft und Technik

Oberste Stufe der (technischen) Klauseln; neueste

technische wissenschaftliche Erkenntnisse, die sich

aber in der Praxis noch nicht durchgesetzt haben und

daher noch nicht anerkannt sind ("Der letzte

Schrei").H

öch

ste

Inn

ova

tio

nss

tufe

2. Stand der Technik

Nichteinhaltung der "Allgemein anerkannten Regeln der Technik"

(Überholte Methoden, Techniken, etc. … (Haftungs-) Gefahren und Probleme)"Alt

er

Hu

t"

"Sch

ne

e v

on

Ge

ste

rn"

Fort

sch

ritt

lich

Min

de

stm

aß

1. Allgemein anerkannte Regeln der Technik

Keine Legaldefinition vorhanden

Voraussetzung 1: Die Regel hat sich in der Wissenschaft als theoretisch richtig

durchgesetzt.

und 2.: Die Regel hat Einzug in die Praxis gefunden und sich dort überwiegend

bewährt.

Er stellt eine höhere (technische) Entwicklung als die "allgemein

anerkannten Regeln der Technik" dar, (fortschrittlichere Verfahren,

Einrichtungen, Betriebsweisen).

Dies muss sich in der Praxis noch nicht langfristig bewährt haben,

jedoch muss die praktische Eignung insgesamt als gesichert

erscheinen.

8

Ein weiteres Beispiel: In Bankenkreisen ist der „Anerkannte Stand von Wissenschaft und Praxis“ wohl schon wesentlich anspruchsvoller, als es die „MaRisk“ fordert.

Der Aufbau dieser vielen Standards differiert zum Teil sehr stark, die Inhalte dagegen glücklicherweise weniger.9

Um die Anwendung zu erleichtern, entschloss sich die ISO bereits 2012, die soge-nannte „High Level Structure“ (HLS) einzuführen:

ISO-Standards für N.N.-Managementsysteme sollten alle einen ähnlichen Aufbau mit 10 Unterpunkten aufweisen10:

1. Anwendungsbereich 2. Normative Verweisungen 3. Definitionen, etc.

Etwas anders strukturiert wurde der „Vier-Block-Aufbau“ beim Universal-Standard der „Deggendorfer Schule“ des Instituts für Governance, Management, Risk& Compliance an der Technischen Hochschule Deggendorf, da dieser Universal-Standard nicht nur die ISO-Standards, sondern auch COSO, IDW, DIIR, etc. in einem Integrierten Mana-gementsystem (IMS) „on demand“ synoptisch „verschmilzt“. 11

Welche Struktur nun logischer / sinnvoller / besser für ein Integriertes System geeignet ist, sei an dieser Stelle dahingestellt, da all die existierenden Strukturen eine gemein-same Schwachstelle aufweisen:

Sie sind streng linear aufgesetzt (HLS: Punkt 1 bis 10, Universal-Standard: Block 1-4, …) so wie unsere Denkweise seit Tausenden von Jahren - unser Gehirn selbst je-doch arbeitet nicht linear, sondern vernetzt:

2. Exkurs: Partielle, vollständige und vernetzte Schrift- und Informations- systeme im Wandel der Zeit

2.1. Das erste Datenverarbeitungssystem

Durch die wachsende Komplexität der Gesellschaften nach der „landwirtschaftlichen Revolution“ (vor ca. 10.000 Jahren) kam Daten und Zahlen eine kongruent steigende

9Vgl. Scherer/Fruth (Hrsg.), Handbuch: Integriertes Managementsystem (IMS) „on demand“ mit

Governance, Risk und Compliance (GRC), 2018. 10 2018 erschien der sehr prominente ISO-Standard für Risiko-Managementsysteme (ISO 31000:2018) und wies überraschenderweise keine High Level Structure mehr auf. 11Vgl. Scherer/Fruth (Hrsg.), Universal-Standard Compliance-Managementsystem des International

Institute for Governance, Risk & Compliance der Technischen Hochschule Deggendorf, 2016 (www.gmrc.de).

9

Bedeutung zu. Eine revolutionäre Erfindung für die Menschen dieser Zeit, die sich zu-vor noch als Jäger und Sammler keine Zahlen oder dergleichen merken mussten, war die Erfindung der Schrift durch die Sumerer – ein erstes Datenverarbeitungssystem.12

2.2. Exkurs: Partielle und vollständige Schriftsysteme

Als „Technik zur Speicherung und Verarbeitung von Information mittels physischer Zei-chen“13 wird zwischen vollständigen und partiellen Schriftsystemen unterschieden. Vollständige Schriftsysteme ermöglichen es, die gesprochene Sprache nahezu lücken-los wiederzugeben. Exemplarisch seien an dieser Stelle die lateinische Schrift, alt-ägyptische Hieroglyphen oder Braille genannt. Partielle Schriftsysteme hingegen sind eher als Zeichensysteme zu betrachten. Mithilfe dieser Zeichensysteme lassen sich „nur ganz bestimmte Informationen aus klar definierten Bereichen erfassen“14, wie zum Beispiel die mathematische Schrift. Die bereits genannte sumerische Schrift war zu-nächst ebenfalls ein partielles Schriftsystem. Ca. 3000 v. Chr. entwickelte sich daraus die sogenannte Keilschrift zum vollständigen Schriftsystem.

Weitere vollständige Schriftsysteme entstanden beispielsweise in China um das Jahr 1200 v. Chr.15

2.3. Datenflut, Archivierung und Auffinden von abgelegten Informationen: Unter-schied zwischen der Methodik des Gehirns und der Bürokratie

Die wachsenden Möglichkeiten der Niederschrift brachten jedoch das gleichermaßen steigende Problem der fehlenden / mangelhaften Datenverarbeitungssysteme mit sich. Während im Gehirn unvorstellbare Mengen an Informationen gespeichert16 und trotz loser Verknüpfungen17 in Sekundenschnelle abgerufen werden können, sind für ein funktionierendes Datenverarbeitungssystem Kataloge und Ordner-/Suchsysteme so-wie Verantwortliche, die sie zu bedienen wissen, von Nöten.18 Insbesondere Letztere

12 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.155 ff.: „Damit sprengten die

Sumerer die physischen Fesseln des Gehirns […]. Das Datenverarbeitungssystem, das die Sumerer erfanden, nennt sich „Schrift““.

13 Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.155 ff. 14 Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.156 ff. 15 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.158 ff. 16 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S. 164 ff.: „Niemand weiß, wie

wir das schaffen, doch es ist allgemein bekannt, wie erstaunlich effizient die Suchmaschine unseres Gehirns ist. Außer wenn wir versuchen, uns daran zu erinnern, wo wir die Autoschlüssel hingelegt haben.“

17 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S. 164 ff.: „Die Schreiber lern-ten […] Techniken zur Erfassung, Suche und Verarbeitung von Information, die sich ganz erheblich von der Denkweise unseres Gehirns unterscheiden. Im Gehirn ist alles lose miteinander verknüpft. […] In der Bürokratie muss dagegen alles klar auseinandergehalten werden.“

18 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.164 ff.: „Um ein funktionie-rendes Datenverarbeitungssystem zu schaffen, […] waren Kataloge und Suchsysteme erforderlich, und vor allem pedantische Beamte, die sie benutzten.“

10

sind für das Funktionieren von Systemen dieser Art entscheidend. Beamten und Buch-haltern wird nachgesagt, sie würden wie Aktenschränke denken, was für die Handha-bung der niedergeschriebenen Informationen sehr nützlich sei.19

Im Zuge der wachsenden Popularität von Datenverarbeitungssystemen ließ sich je-doch eine Tendenz weg vom natürlichen menschlichen, ganzheitlichen Denken20 hin zu Bürokratie und Kästchendenken erkennen.21

2.4. Unterstützung der „bürokratischen Methode“ durch Erfindung der mathema-tischen Schrift

Die Entwicklung der partiellen Schriftsysteme hin zu vollständigen Schriftsystemen verringerte die Bedeutung der mathematischen Zeichen als partielles Schriftsystem nicht. Gegenteiliges trat ein: Die mathematische Schrift etablierte sich zur „vorherr-schenden Weltsprache“22. Nahezu alle Staaten, Unternehmen u.v.m. greifen darauf zurück und können damit jede Information mit beispielloser Geschwindigkeit und Effi-zienz verarbeiten. Zudem findet eine natürliche Selektion statt, indem Informationen, die sich nicht in die mathematische Schrift überführen lassen, außer Acht gelassen werden – was auf der anderen Seite der Fähigkeit von Regierungen, Organisationen, etc., in Zahlen zu sprechen, neue Bedeutung und Wichtigkeit beimisst.23

2.5. BPMN 2.0 als partielles Schriftsystem für Geschäftsprozess- und Workflow-management?

Business Process Model and Notation (BPMN) ist ein Industriestandard, der weltweit zur grafischen Darstellung und Modellierung von Geschäftsprozessen eingesetzt wird. Dabei wird eine logische und grafische Abfolge („partielles Schriftsystem“) einzelner Aktivitäten mit Information mittels physischer Zeichen, die die jeweils gesprochene

19 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.164 ff.: „Damit das System

funktioniert, müssen die Hüter der Schubladen so umprogrammiert werden, dass sie nicht mehr wie Menschen denken, sondern wie Beamte und Buchhalter. Seit frühesten Zeiten weiß jeder, dass Be-amte und Buchhalter nicht wie Menschen denken. Sie denken wie Aktenschränke.“

20 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.164 ff.: „Das ist vielleicht die wichtigste Auswirkung der Schrift auf die Geschichte der Menschheit: Ganz allmählich veränderte sie die Denkweise und Weltsicht der Menschen.“

21 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.164 ff.: „Im Laufe der Jahr-hunderte wurde der Unterschied zwischen der bürokratischen Datenverarbeitung und der natürlichen menschlichen Denkweise immer größer.“

22 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.166 ff.: „Obwohl die mathe-matische Schrift immer ein partielles Schriftsystem blieb, hat sie sich zur vorherrschenden Weltspra-che entwickelt.“

23 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.166 ff.: „Wer Einfluss auf die Entscheidungen von Regierungen, Organisationen und Unternehmen nehmen will, muss daher ler-nen, in Zahlen zu sprechen. Experten tun alles, um selbst Vorstellungen wie „Armut“, „Glück“ oder „Ehrlichkeit“ in die Zahlensprache zu übersetzen“.

11

Sprache nahezu lückenlos wiedergibt, ergänzt. Durch den Trend der letzten Jahr-zehnte, sich wirtschaftlich international auf einige wenige Sprachen zu einigen (chine-sisch, englisch, spanisch), kann ein hoher Standardisierungsgrad erreicht werden.

Die einzelnen Aufgaben und Aktivitäten, die innerhalb eines Geschäftsprozesses fest-gelegt werden, werden als „Tasks“ bezeichnet. Der Durchlauf eines Geschäftsprozes-ses, bei dem sukzessive Tasks durchgeführt werden, wird durch Entscheidungen („Ga-teways“) und Kontrollen („Sequenzfluss“) begleitet. Mithilfe dieser Modellierungs-Ob-jekte lassen sich auch mehrere parallele Abläufe erzeugen, die anschließend an pas-sender Stelle synchronisiert und zusammengeführt werden. Sogenannte „Pools“ defi-nieren den Rahmen eines Geschäftsprozesses oder werden zur Darstellung unterneh-mensübergreifender Prozesse einzelner Geschäftspartner verwendet. Die Zuständig-keiten und Verantwortlichkeiten der Prozessbeteiligten lassen sich mit „Swimlanes“ (Bahnen im Schwimmbad) darstellen. Außerdem können zusätzliche Daten in ein Pro-zessdiagramm integriert werden, welche die Prozessbeteiligten mit Wissen zu Erfül-lung ihrer Tätigkeiten versorgen. Diese Daten bilden eine Basis für Workflowmanage-ment-Systeme. Neuartige Technologien erlauben die Interpretation der BPMN und der integrierten Daten und ermöglichen damit die Automatisierung der Geschäftsprozesse, auch „(Human-)Workflowmanagement“ genannt. Damit wurde durch die Verbindung von vollständigen und partiellen Schriftsystemen ein neuer Reifegrad im Informations-management erreicht.

2.6. Nutzung der mathematischen Schrift zu „gehirnähnlichen“ Methoden der Vernetzung von Informationen

Einen revolutionären Fortschritt in der mathematischen Schrift stellt das binäre Zei-chensystem dar, das nur aus der 0 und der 1 besteht und alle Wörter und Informatio-nen, die in einem Rechner eingegeben werden, in eine bestimmte Aneinanderkettung dieser beiden Ziffern übersetzt.24 Auf Basis dieses Systems wird im Forschungsgebiet der „Künstlichen Intelligenz“ (KI) versucht, „eine neue Art der Intelligenz zu schaffen“25.

Auch gerade neu entwickelte „Quanten“-Chips von Google schaffen eine noch nie da gewesene Form der Datenverarbeitung.

24 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.166 ff. 25 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.157 ff.: „Aber damit ist das

Ende der Geschichte noch längst nicht erreicht. Das Forschungsgebiet der „künstlichen Intelligenz“ versucht inzwischen, eine neue Art der Intelligenz zu schaffen, die nur auf dem binären Zeichen-system der Computer basiert und ganz ohne menschliches Zutun funktioniert. […]“

12

3. Von der Menschheitsgeschichte zum vernetzten Alltag im digitalen Zeitalter

Im Bereich Managementsysteme sind wir bisher jedoch noch nicht darauf gekommen, wirklich vernetzt zu denken und zu arbeiten. Auch unsere Unternehmen / Organisatio-nen waren schon immer komplex vernetzte Organismen, wenngleich sie zumeist klas-sisch linear organisiert geführt wurden.

Seit die Themen „Prozessorientierte Organisation“26 und „Industrie 4.0“ populär wur-den, fällt auf, dass die herkömmlichen Strukturen und Denkweisen nicht mehr in die „4.0-Welt“ passen.

Auch bzgl. der diversen Komponenten (z.B. Definitionen, Richtlinien, Kompetenzen, rechtliche Vorgaben, „Tone from the Top“, etc.) eines beliebigen N.N.-Management-systems ist es für die „Wirksamkeit“ (das „Gelebt-werden“) nicht zielführend, wenn diese – wie sehr häufig in der Praxis anzutreffen - in Standards, Handbüchern oder Excel-Tabellen, etc. -streng linear dargestellt- einen „Dornröschenschlaf“ in Schubla-den, Intranet oder Wissensdatenbanken abhalten, bis sie ein Auditor oder Wirtschafts-prüfer für die kurze Zeit eines Audits oder einer Testierung vorübergehend scheinbar zum Leben erweckt.

Vielmehr müssten diese Aktivitäten zur Erfüllung der diversen Anforderungen (aus Recht, Stand der Technik oder Standards) so in die Prozessabläufe integriert werden, dass die Wirksamkeit gewährleistet (und dokumentiert) ist.27

Die Anforderungen an digital transformierte Managementsystem-Standards ist also ei-nerseits, die Inhalte (Anforderungen/Komponenten) verständlich und strukturiert, aber andererseits auch (digital) in Prozessabläufen vernetzt abzubilden.

Dies ist möglich und wird bereits praktiziert, ist damit also „Stand der Technik“:

4. Interpretation der High Level Structure der ISO und des „Vier-Block-Auf-

baus“in Richtung prozessorientierte Organisation

4.1 Der Vier-Block-Aufbau der Deggendorfer Schule als Basis für System- und Standard-übergreifende Bewertungen

Der Vier-Block-Aufbau der „Deggendorfer Schule“ geht davon aus, dass in allen exis-tierenden (QM-, Risk-, Compliance-, Nachhaltigkeits-, Informationssicherheits-, etc.-) Managementsystem-Standards (auch außerhalb von ISO: z.B. bei COSO, IDW, DIIR, etc.) ähnliche Inhalte / Komponenten zu finden sind und versucht, den gemeinsamen Nenner darzustellen:

26Vgl. Scherer/Fruth (Hrsg.), Integriertes Qualitätsmanagement und Leistungserbringungsmanagement

mit Governance, Risk und Compliance (GRC), 2016, S. 89 ff. 27Scherer, Managerenthaftung und digitale Transformation versus Unvernunft im Lichte aktueller

Rechtsprechung des Bundesgerichtshofs, FIRM Jahrbuchbeitrag, 2018 (www.gmrc.de) und Scherer/Fruth (Hrsg.), Handbuch: Integriertes Managementsystem (IMS) „on demand“ mit Governance, Risk und Compliance (GRC), 2018.

13

So findet sich beispielsweise die von Auditoren, Wirtschaftsprüfern, Zertifizierern, QM-, Risk-, Compliance-Beauftragten, Revisioren und vielen weiteren zu prüfende Anforde-rung, die Ziele der „interested parties“ darzustellen, zu bewerten und gegebenenfalls Maßnahmen abzuleiten, nahezu in jedem Standard:

Die Gegenüberstellung (Synopse) als „Beweis“ für die zahlreichen Redundanzen / Analogien

ISO 19600:2014 (Compliance-Management)

„4.2 Understanding the needs and expectations of interested parties“

ISO 37001: 2016 (Antikorruption)


IDW PS 980: 2011 (Compliance-Managementsystem)

„5.4.1. Prüfungshandlungen zur Risikobeurteilung

(40) 5.4.1.1. Kenntnisse über das rechtliche und wirtschaftliche Umfeld des Unterneh-mens“

„(A29) Kenntnisse über das rechtliche und wirtschaftliche Umfeld des Unternehmens [Tz. 40]“

PAS 99: 2012 (Integriertes Management System)

(Public Available Standard / British Standards Institution)


ISO 9001: 2015 (Qualitätsmanagementsystem)

„4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien“

ISO 9004: 2017 (Leiten und Lenken für den nachhaltigen Erfolg einer Organisa-tion)

„Interessierte Parteien, Erfordernisse und Erwartungen“

Deutscher Rechnungslegungs Standard Nr. 20 (DRS 20): 2012

((Konzern-) Lageberichterstattung gem. §§ 289, 315, 342 HGB) „3.“/ „37.“/„59.“

COSO I: 2013 (Internal Control / Internes Steuerungs- und Überwachungssys-tem)

Prinzip 9

Die Organisation identifiziert und bewertet Veränderungen, die das Interne Kontroll-System wesentlich beeinträchtigen können.

Fokuspunkte:

35 Beurteilt Veränderungen in externer Umwelt.“

etc.

14

Abbildung 3: K8 Interested Parties-Analyse.

Den Kernbereich des Universalstandards bildet jedoch die Ablauforganisation, also die Führungs-, Kern- und Unterstützungsprozesse (nach Porter) des Unternehmens / der Organisation:

Diese Prozesse werden mit den Komponenten zur Erfüllung der relevanten Anforde-rungen in einem Integrierten Managementsystem „angereichert“ und zur Wirksamkeit geführt.

Abbildung 4: Anreicherung der Prozesse.

Diese Komponente „Interested parties-

Analyse“ ist also nur ein einziges Mal

durchzuführen und erfüllt zugleich die An-

forderungen zahlreicher Management-

system-Inseln: Effektivität und Effizienz zu-

gleich!

15

Abbildung 5: K31/4 Managementsystem-Prozesse.

Managementbewertung / Management Review

Schließlich fordern die vielen diversen Standards und somit im Rahmen von Assess-ments auch Wirtschaftsprüfer, Auditoren, Sonderbeauftragte, etc. im Rahmen der Be-richterstattung unter anderem von der Geschäftsleitung, jährlich eine Managementbe-wertung (Management Review) in Bezug auf beispielsweise das Risiko-, Compliance- oder N. N.-Managementsystem zu erstellen.

Auch hier können Normen und Standards „verschmolzen“, Redundanzen und Analo-gien für Effektivität und Effizienz genutzt werden:

Aus einzelnen aufwändigen Insel-Bewertungen wird eine komprimierte GRC-Bericht-erstattung.28

28 Vgl. Anlage 1: Muster für eine Managementbewertung (Management Review) bzgl. Risiko- und Com-pliance-Managementsystem in Anlehnung an ISO 19600, ISO 31000, IDW PS 980, IDW PS 981, ÖNORM D 4901

Zur Komponente „Managementsystem-

Prozesse“ zählen unter anderem Check-

listen, Modellierungen der Management-

system-Prozesse, Ernennungsbeschlüsse

für die Prozessverantwortlichen, u.v.m.

16

4.2 „Interpretation“ der High Level Structure (HLS) in ISO-Standards in Richtung „prozessorientierte“ Organisation

Abbildung 6: Input – „line of action“ – output: Der gleiche Ablauf in jedem Prozessthemenbereich.

Input - „line of action“ - output: Der gleiche Ablauf in jedem Prozessthemenbereich

Management / Unternehmensleitung

Analysen

Unternehmensanalyse

Umfeldanalyse

Interested parties- Analyse

Bewertung und Ableitung von Maßnahmen

Unternehmens-Vision/Mission/ Leitbild/Politik

Unternehmens-Ziele/Strategie/Planung

Ableitung der Unternehmensziele

In Bereichsziele

Prozessziele

Prozesse

Input und Output (Anforderungen/ Ziele)

festlegen

Input(Ressourcen: IT, Mensch, Material, Pläne, Leistungsbeschreibung, …)

Action

Output

Zielerreichung

Tools/Methoden

Tools/Methoden

Tools/Methoden

Tools/Methoden

Muster

Prozess-Output Beschreibungen

Mitarbeiterziele

Zielvereinbarungen

Tools

• Visualisierung/Sheets• Lenkung durch

virtuelle Prozessvorgaben

• Managementsysteme • etc.

Internes Steuerung und Überwachung

(three lines of defense)

17

Die HLS-Punkte 1 bis 5 (1. Anwendungsbereich, 2. Normative Verweisung, 3. Definiti-onen, 4. Kontext, 5. Führung und Verpflichtung) sind vor die Klammer gezogene, all-gemeine Ausführungen und entsprechen den Blöcken 1-3 des Universal-Standards „Integriertes Managementsystem“ der „Deggendorfer Schule“.

Ab Punkt 6 ff. wird von der HLS eigentlich nur der gängige P/D/C/A-Zyklus oder ein typischer Prozessablauf nachempfunden, wenngleich dies m.E. nicht unbedingt sehr transparent und streng logisch dargestellt wird:

Abbildung 7: Plan / Do / Check / Act – Kreislauf in Prozessabläufen.

Unternehmens-Ziele/Strategie/Planung


In Bereichsziele

Prozessziele

Prozesse

Input und Output

(Anforderungen/ Ziele)festlegen


Action

Prozess-Output Beschreibungen

Mitarbeiterziele

Zielvereinbarungen

Tools




Internes Steuerung und Überwachung

(three lines of defense)

18

4.2.1 Ziele setzen und Anforderungen sowie Maßnahmen zur Erfüllung der An-

forderungen zur Zielerreichung bestimmen

Dies entspricht Block 4, Punkt 4.1 des Universal-Standards und Punkt 6 „Planung“ der HLS und der Phase „Plan“ im Deming-Kreislauf. Zu diesem Punkt gehören aber in der Praxis bereits zwingend auch die Kon-zeptionierung eines Steuerungs- und Überwachungssystems („lines of de-fense“) und die Bestimmung von Risiken, die die Zielerreichung gefährden könnten sowie eines Prozesses zur Reaktion bei Abweichungen (vgl. Punkt 4.2 des Universal-Standards).

Bereits an dieser Stelle – und nicht erst wie bei der HLS unter „8. Betrieb“ – ist auf die Inhalte eines N.N.-Managementsystems in Form von Soll-Komponenten und Prozessabläufen einzugehen:

Gerade diese Komponenten/Inhalte/Abläufe des behandelten Themas (QM, Risk, Compliance, Personal, IT, etc.) müssen ja bzgl. Ziele, Anforderungen, Maßnahmen etc. bekannt sein, um sie unter Punkt 6 (HLS) zu planen/projektie-ren, unter 7. (HLS) vorbereitend zu unterstützen, unter 8. Betrieb (HLS) umzu-setzen, unter 9. Bewertung (HLS) zu bewerten und 10. Verbesserung (HLS) zu verbessern. Zur Planung/Konzeptionierung gehört schließlich u.a. auch noch die entspre-chende Managemententscheidung (mit Ressourcenfreigabe!) und die Projek-tierung.29 Damit wären die Anforderungen/Ziele transparent gemacht:

29Vgl. Scherer/Fruth (Hrsg.), Handbuch: Integriertes Managementsystem (IMS) „on demand“ mit

Governance, Risk und Compliance (GRC), 2018, Punkt 1.3.

19

Abbildung 8: Gleiche Abläufe: Prozessziele definieren

4.2.2 Vor der eigentlichen „Action“ muss der „input“ bereitgestellt werden.

Abbildung 9: Gleiche Abläufe: Input.


In Bereichsziele

Prozessziele

Prozesse

Input und Output

(Anforderungen/ Ziele)festlegen


Prozess-Output

Beschreibungen

Mitarbeiterziele

Zielvereinbarungen

Tools




20

Dies wird in der High Level Sturcture unter 7. mit „Unterstützung“ bezeichnet. Im Vierblock-Aufbau wird dies unter Block 2 und 3 dargestellt: Der Rahmen und die allgemeinen Anforderungen im Managementsystem, die vorhanden sein müssen, um über Aktionen (Prozessabläufe) diesen „input“ in „output“ zu ver-wandeln. Diese Phase enthält auch die „Implementierung“ oder auch Do /Teil 1. „Wirksam“ wird das Ganze erst mit der gelebten Umsetzung (Do /Teil 2) in den Prozessen (action!).

4.2.3 Über gelebte Prozessabläufe wird der input in output verwandelt. Hier müsste in der HLS-Phase 8. „Betrieb“ bzgl. der Inhalte (was umfasst der „Betrieb“?) ein Verweis auf die bereits bei der Planungsphase unter 6. darge-stellten Punkte genügen (Do/ Teil 2/ „action“).

Abbildung 10: Gleiche Abläufe: Action.

21

4.2.4 Steuerung und Überwachung / Internes Kontroll-System Das Steuerungs- und Überwachungssystem („Check“) würde in einer vernetz-ten, also nicht bürokratisch-linear ablaufenden Organisation die vorhergehen-den Punkte 6 und 7 parallel mit Soll-Ist-Abgleich, Kennzahlenermittlung, Eska-lationsprozess, Monitoring, Reporting, Dokumentation begleiten und nicht erst chronologisch nachfolgend ab Punkt 9 „Bewertung“ (HLS) zum Einsatz kom-men, wenn „das Kind evtl. schon in den Brunnen gefallen“ ist. Zu differenzieren ist auch deutlich zwischen Bewertung (Assessment) des Ma-nagementsystems und Bewertung der Abläufe und Komponenten eines Stan-dards. Dies wird in ISO-Standards oft vermischt.30

Abbildung 11: Gleiche Abläufe: Begleitende Steuerung und Überwachung.

4.2.5 Verbesserung und Anpassung an Veränderungen Auch „Act“ (10. „Verbesserung“ (HLS)), also die Anpassung an interne / externe Veränderungen oder erkannte Schwachstellen, läuft parallel im Steuerungs- und Überwachungssystem mit.

30Vgl. Scherer/Fruth (Hrsg.), Integriertes Qualitätsmanagement und Leistungserbringungsmanagement

mit Governance, Risk und Compliance (GRC), 2016 und Scherer/Fruth, Danke ISO! Über die neue ISO 9001:2015 (Qualitätsmanagementsystem) zum integrierten, ganzheitlichen Managementsystem mit Governance, Risk und Compliance (GRC) – Buchbeitrag in: BCM – Berufsverband der Compliance Manager, COMPLIANCE 2015, Perspektiven einer Entwicklung, 2015, S. 83 – 107 (www.gmrc.de).

22

4.2.6 Zielerreichung als output Wenn alles optimal läuft, würde der input in output, nämlich die Erfüllung der relevanten Anforderungen der interested parties und Zielerreichung umgewan-delt.

Abbildung 12: Gleiche Abläufe: Output.

23

5. „High Level Structure 4.0“: Die Vernetzung der Komponenten von Normen, Richtlinien und Standards in einem Integrierten Workflow-Management- system

Abbildung 13: Vernetzung der Komponenten eines Managementsystems auf Basis von Prozessabläufen.

Die Prozesse stehen im Zentrum des Integrierten Managementsystems in einem Be-ziehungsgeflecht zu vielen Komponenten.

Sehr oft werden Prozesse in Unternehmen nicht ganzheitlich betrachtet. Mit einem Integrierten Human-Workflow-Managementsystem können die einzelnen Komponen-ten eines beliebigen N.N.-Managementsystems mit Fokus auf die Unternehmenspro-zesse in logische Beziehung gesetzt werden.

Dies bedeutet, dass in Human-Workflow-Managementsystemen jeder Prozess optimal mit den individuell benötigten Ressourcen (Ziele, Strategien, Anforderungen, Tools, Verantwortlichkeiten, etc.) angereichert wird. Dadurch wird ermöglicht, dass jeder Mit-arbeiter „das Richtige richtig tun“ kann.

These:

Ein analoges System, basierend auf denklogisch linear angeordneten Standards, ver-ortet in Dokumenten, Handbüchern, Richtlinien, Excel-Tabellen oder E-Mail-Anhängen kann niemals den Sprung in die digitale Transformation schaffen:

Wenn „nicht gelebte analoge Dokumente“ digitalisiert werden, gibt es am Ende nur „nicht gelebte digitalisierte Dokumente“, aber keine gelebte Vernetzung, Au-tomatisierung und digitale Transformation im Sinne von „4.0“!

Für eine „echte digitale Transformation“ sind Integrierte Human-Workflow-Manage-mentsysteme notwendig. Um die „nicht-gelebten Dokumente“ wie Gesetze, interne Richtlinien, Standards, etc. via gelebte Prozessabläufe zum Leben zu erwecken, sind

24

sie zunächst zu fragmentieren, in relevante Anforderungen und Maßnahmen zur Erfül-lung der Anforderungen zu „übersetzen“ und die jeweiligen Abläufe den relevanten Prozessschritten zuzuordnen:

Beispiel Compliance:

Das Handelsgesetzbuch (HGB): Ein „Rechtskataster“, das aufführt, dass in den Abtei-lungen Einkauf und Vertrieb „das HGB“ zur Anwendung komme, ist sinnlos (und kostet nur Geld).

Das HGB muss also erst fragmentiert und die relevanten Normen daraus übersetzt in Anforderungen und daraus resultierenden Maßnahmen den richtigen Prozessschritten zugeordnet werden:

Beispiel:

Die Obligenheit zur unverzüglichen Untersuchung der Ware und Rüge gemäß § 377 HGB im Rahmen der Wareneingangslogistik31:

Diese fragmentierte / herausgelöste Anforderung (§ 377 HGB) aus dem gesamten Handelsgesetzbuch könnte zunächst in einen „Compliance-, Risiko-, IKS-, etc.-Steck-brief“ „übersetzt“ und dem relevanten Prozessschritt des Einkaufsprozesses zugeord-net werden.

31 § 377 HGB: (1) Ist der Kauf für beide Teile ein Handelsgeschäft, so hat der Käufer die Ware unverzüglich nach der Ablieferung durch den Verkäufer, soweit dies nach ordnungsmäßigem Geschäftsgange tunlich ist, zu untersuchen und, wenn sich ein Mangel zeigt, dem Verkäufer unverzüglich Anzeige zu machen. (2) Unterläßt der Käufer die Anzeige, so gilt die Ware als genehmigt, es sei denn, daß es sich um einen Mangel handelt, der bei der Untersuchung nicht erkennbar war. (3) - (5) […]

25

Compliance-, Risiko-, IKS-, etc.-Steckbrief: Eine Maßnahme, die mit einer „Klappe mehrere Fliegen (Compliance-, Risiko-, IKS-, QM-, etc.-Anforderungen) erschlägt“.

Abbildung 14: Compliance-, Risiko-, IKS-, etc.-Steckbrief: Eine Maßnahme, die mit einer „Klappe mehrere Fliegen (Compliance-, Risiko-, IKS-, QM-, etc.-Anforderungen) erschlägt“.

Weiteres Beispiel:

Ebenso ist mit Punkt 3 der HLS, „Definitionen“, zu verfahren:

Jede Definition gehört dahin, wo sie gebraucht wird. Dies entspricht auch den mo-dernsten und zugleich sehr alten Lernformen: „Learning by doing“: im jeweiligen Pro-zessablauf.

Es empfiehlt sich also, nicht nur die Prozesse mit Risk-, IKS- und Compliance-Kompo-nenten anzureichern, sondern auch für jeden Mitarbeiter verständliche Definitionen von Begriffen an den jeweiligen Prozessschritten zu verorten.

Somit wird nicht nur ein digitales Glossar, zum Beispiel im Intranet des Unterneh-mens, hinterlegt, sondern für den Mitarbeiter direkt an dem jeweiligen Prozess-Work-flow der dafür notwendige Fachbegriff verständlich dargestellt.

26

Beispiel Wareneingangslogistik

Abbildung 15: Prozessausschnitt: Wareneingangslogistik32

Im Einkaufsprozess „Wareneingangslogistik“ kann beim markierten Prozessschritt „QSV-Prüfung“ für den Workflow-Verantwortlichen die Definition der Qualitätssiche-rungsvereinbarung (QSV) verortet werden. Die Definition kann wie folgt lauten:

Qualitätssicherungsvereinbarung (QSV):

Eine QSV ist eine Vereinbarung mit wichtigen Lieferanten, damit unter anderem die Qualität, Liefertreue, etc. ihrer Produkte und Dienstleistungen gewährleistet wird.

In diesen Vereinbarungen kann auch geregelt werden, dass der Lieferant neben einem Qualitäts-Managementsystem auch ein Risiko-, Compliance- und Nachhaltigkeits- System vorhalten muss.

Idealerweise wird an diesem Prozessschritt nicht nur die jeweilige Definition der QSV verlinkt, sondern auch eine Muster-QSV verortet.

Ergänzend könnte sogar noch ein Kurz-Lehrfilm („KISS“) zum jeweiligen Handlungs-ablauf an dieser Stelle verlinkt sein.

32 Aus: Scherer/Fruth (Hrsg.), Handbuch: Einführung in ein Integriertes Einkaufs-Managementsystem mit Governance, Risk und Compliance (GRC), 2018.

Definition:

QSV

27

Nach wie vor haben wir lediglich eine (durchaus gute) Dokumentation / ein Wissens-management. Aber: Der Prozess lebt noch nicht!

Dafür sorgt nun eine Vernetzung aller Aktivitäten zur Erfüllung der in den Komponen-ten von Normen, Standards, Richtlinien enthaltenen Anforderungen:

Abbildung 16: Wareneingangskontrolle in GRC-PS - I.

Abbildung 17: Wareneingangskontrolle in GRC-PS - II.

28

Weiteres Beispiel: (Aufbau-) Organisation: Rollen und Verantwortlichkeiten:

Auch der Risiko- (oder Compliance-)beauftragte mit seiner Stellenbeschreibung sollte nicht nur Bestandteil eines Standards (Punkt 7 der HLS), der Rechtsprechung oder eines Handbuches sein, sondern bekommt eine „Rolle“, vernetzt im Rollen- und Be-rechtigungssystem der IT-basierten Prozessabläufe:

Abbildung 18: Risk-Management-Prozess: Risiko-Prozess starten.

In einem digital transformierten Workflow-Managementsystem sind also Bestandteile der Ablauforganisation oder auch von Normen / Richtlinien / Standards / etc. nun Be-standteil gelebter Abläufe:

Der Risikobeauftragte ist z. B. Adressat der Mitteilungen aufmerksamer Mitarbeiter bzgl. Gefahren und Chancen.

Abbildung 19: Risk-Management-Prozess: Smartform zum Prozessstart.

29

Abbildung 20: Risk-Management-Prozess: Prozessmodell (Teil 1).

Die Erfüllung der Anforderungen und entsprechende Maßnahmen werden über gesteuerte und kontrollierte Aufgabenverteilung sichergestellt.

Abbildung 21: Risk-Management-Prozess: Aufgaben zur Maßnahmenerfüllung.

30

Abbildung 22: Risk-Management-Prozess: Risiko-Cockpit.

Jederzeit kann in Echtzeit überwacht oder auch über den Soll-Ist-Zustand berichtet werden:

Abbildung 23: Risk-Management-Prozess: Reporting-Dashboard.

Abbildung 24: Risk-Management-Prozess: Reporting-Dashboard.

31

Exkurs: Die erste „Kognitive Revolution“

Nach Harari konkurrierte der Homo sapiens, bevor vor circa 70.000 Jahren mit der kognitiven Revolution33 seine enorme Entwicklung und Ausbreitung von Ostafrika bis nach Europa und Ostasien begann, zunächst u. a. mit den Neandertalern.

Trotz Hürden wie dem offenen Meer gelang dem Homo sapiens schließlich auch die Besiedelung Australiens.34

Die gängigste Erklärungs-Theorie dieser Entwicklung geht von zufälligen Genmutatio-nen aus, wodurch es dem Sapiens ermöglicht wurde, zu denken, zu lernen und in Form von Sprache zu kommunizieren. Dank der Anpassungsfähigkeit von Gehirn und Spra-che können immense Mengen an Informationen zu verschiedenen Zwecken aufge-nommen, gespeichert und weitergegeben werden.

Nach einer zweiten Erklärungs-Theorie dient die Sprache dem Zweck des Austauschs von Informationen über die Umwelt,35 da damit das sich verändernde Beziehungsge-flecht in einer Personengruppe transparent gemacht werden kann. Dadurch können Gruppenerweiterungen und auch komplexe Formen der Zusammenarbeit entstehen bzw. entwickelt werden.36

Mithilfe unserer Sprache können wir auch nichtexistierende Dinge erörtern, spekulie-ren und Geschichten erfinden, weshalb sie auch als „fiktive Sprache“ bezeichnet wird.37

Ende Exkurs

33 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S. 34: „Die Entstehung neuer

Denk- und Kommunikationsformen in dem Zeitraum, der vor rund 70 000 Jahren begann und vor etwa 30 000 Jahren endete, wird als kognitive Revolution bezeichnet.

34 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S. 33: „Die meisten Forscher sehen in diesen beispiellosen Leistungen einen Hinweis darauf, dass die kognitiven Fähigkeiten des Homo sapiens einen Quantensprung gemacht haben.“

35 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S. 35: „Es ist viel wichtiger zu wissen, wer in der Gruppe wen nicht leiden kann, wer mit wem schläft, wer ehrlich ist und wer andere beklaut.“

36 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S. 36: „Sie glauben doch nicht etwa, dass sich Geschichtswissenschaftler beim Mittagessen nur über historische Ereignisse austau-schen, oder dass Physiker ihre Kaffeepause mit der Erörterung von Quarks zubringen? Natürlich nicht. Sie unterhalten sich über die Professorin, die ihren Mann mit einer andren erwischt hat, über den Streit zwischen dem Fachbereichsleiter und der Dekanin oder über das Gerücht, dass sich ein Kollege von den Forschungsgeldern der Studienstiftung einen Mercedes gekauft hat.“

37 Vgl. Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S. 38: „Sapiens sind dagegen ausgesprochen flexibel und können mit einer großen Zahl von wildfremden Menschen kooperieren. Und genau deshalb beherrschen die Sapiens die Welt, während Ameisen unsere Essensreste ver-zehren und Schimpansen in unseren Zoos und Forschungslabors herumhocken.“

32

Fazit

Über vernetzte Human Workflow-Managementsysteme, künstliche Intelligenz, Quan-ten-Chip-Technik und viele weitere aktuelle Themen in Forschung und Praxis, hat der Mensch es möglicherweise nach tausenden von Jahren gerade geschafft, seine „Schrift-“ und Managementsysteme vom bürokratischen, analogen „Beamten-Organi-sations-Denken“ (vgl. oben Punkt 2) der realen vernetzten Welt in Unternehmen und Organisationen, aber auch der Funktionsweise des Gehirns anzupassen.

Eventuell sind automatisierte Prozessabläufe in nicht allzu ferner Zeit sogar in der Lage, sich - selbst lernend – kontinuierlich zu verbessern („KVP 4.0“)?

Nach der ersten „kognitiven Revolution“, die den Siegeszug des homo sapiens über den homo neanderthalensis ermöglichte38, stellt dies möglicherweise die nächste „kog-nitive Revolution“ dar.

Unter Umständen konkurrieren aber bei der aktuellen „zweiten kognitiven Revolution“ dieses Mal homo sapiens und künstliche Intelligenz?39

Zunächst jedenfalls ist es angesagt, Normen, Richtlinien und Standards zeitgemäß mit Leben (Wirksamkeit) zu füllen und tatsächlich digital zu transformieren.

Da es im Unternehmen nicht nur einen Prozess, der optimal für alle Mitarbeiter gestal-tet werden muss, sondern womöglich Hunderte gibt, ist es anspruchsvoll, aber auch umso wichtiger, diese Komplexität „im Griff zu haben“.

38 Vgl. Summary von Harari, Eine kurze Geschichte der Menschheit, 25. Auflage, 2015, S.10, 32 ff. 39 Vgl. dazu Harari, Homo deus: Eine Geschichte von Morgen, 14. Auflage, 2018.

33

Anlage 1: Muster einer Risk- und Compliance-Managementbewertung (Management

Review)

Managementbewertung (Management Review) in Bezug auf das Risiko- und Compliance-Managementsystem von N. N. (Name der Organisation)

(Vgl. ISO 19600 Punkt 9.3, ISO 31000, IDW PS 980, IDW PS 981, COSO II, DIIR, ÖNORM D 4900)

1. Ist-Zustand zum (Datum) 1.1. Wie ist der Status der aufgrund der vorherigen Managementbewertungen

veranlassten Maßnahmen in Bezug auf das Risiko- und Compliance-Ma-nagementsystem?

1.1.1 Früher beschlos-sene Maßnahmen

1.1.2 Status 1.1.3 Weitere Maß-nahmen, falls veran-lasst

1.1.1.1 (Beispiel:) Thema Prozesse

„In den Bereichen Ein-kauf und Business Con-tinuity Management müssen bis (Datum) an-gemessene Prozesse implementiert und wirk-sam sein.“

1.1.2.1 (Beispiel:) Thema Prozesse

„Die Prozesse sind imple-mentiert, werden aber noch nicht gelebt.“

1.1.3.1

„Schulungen / Work-shops / internes Wirk-samkeits-Audit“

1.1.1.2 Thema: Kompe-tenzen der Mitarbeiter

1.1.2.2 …

„Die Mitarbeiter sind zu 60 % angemessen kompetent in Compliance und Risk“

1.1.3.2 „Schulung der restlichen 40 % der Mitarbeiter“

1.2. Ist die Risiko- und Compliance-Politik (noch) geeignet, die Risiko- und Compliance-Managementsystem-Zielerreichung angemessen zu unter-stützen?

…

1.3. Wie ist der Grad der Erreichung der Risiko- und Compliance-Ziele?

34

1.3.1 Ziele 1.3.2 Zielerreichungsgrad (qualitativ / quan-titativ)

1.3.1.1 (Beispiel:) … 1.3.2.1 (Beispiel:) …

1.3.1.2 … 1.3.2.2 …

1.4. Sind die (finanziellen / logistisch (IT / Infrastruktur) / personellen) freigegebenen Res-sourcen (Budget) für die nächsten 2 Jahre angemessen?

…

1.5. Veränderungen bei externen und internen Themen, die das Risiko- und Compliance-Ma-nagementsystem betreffen:

Zusammenfassung und Handlungsempfehlungen aus Unternehmens-, Umfeld-, interested parties-Analyse:

…

1.6. Informationen über die Risiko- und Compliance-Managementsystem-Leistung, ein-schließlich Entwicklungen bei:

1.6.1 Nichtkonformitäten, Korrekturmaßnahmen und Zeitplänen für deren Beheben

…

1.6.2 Ergebnissen von Überwachungen und Messungen:

…

1.6.3 Kommunikation mit interessierten Parteien, einschließlich Beschwerden:

…

1.6.4 Auditergebnissen:

…

1.7. Möglichkeiten zur fortlaufenden Verbesserung:

…

2. Empfehlungen:

2.1. Besteht eine Notwendigkeit von Änderungen der Risiko- und Compliance-Politik, deren zugehörigen Zielen, Systemen, Strukturen und Personal?

…

2.2. Besteht ein Bedarf für Änderungen von Risiko- und Compliance-Prozessen, um eine wirksame Integration in betriebliche Abläufe und Systeme sicherzustellen?

…

Falls ja, welche Maßnahmen sind erforderlich?

…

2.3. Gibt es Bereiche, die hinsichtlich möglicher künftiger Non-Compliance oder (neuer) wichtiger Risiken zu überwachen sind?

…

2.4. Korrekturmaßnahmen bei Non-Compliance oder Abweichungen im Risikomanagement:

…

35

2.5. Lücken oder Mängel im gegenwärtigen Risiko- oder Compliance-Managementsystem und längerfristige Initiativen zur fortlaufenden Verbesserung:

…

Entscheidungen des Managements:

(Die Ergebnisse der Managementbewertung sollten Entscheidungen zu Möglichkeiten der fortlaufenden Verbesserung sowie zu jeglichem Änderungsbedarf am Risiko- und Compliance-Managementsystem enthalten.)

1. …

2. …

3. …

36

Anlage 2: Herausgeberprofile

Prof. Dr. jur. Josef Scherer

Rechtsanwalt

Gründer und Leiter des Internationalen Instituts für Gover-nance, Management, Risk- und Compliancemanagement der Technischen Hochschule Deggendorf THD

Rechtsanwalt Prof. Dr. Josef Scherer ist seit 1996 Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf. Zuvor arbeitete er als Staatsanwalt an diversen Landgerichten und Richter am Landgericht in einer Zivilkammer.

Neben seiner Tätigkeit als Seniorpartner der auf Wirtschaftsrecht und Governance, Risiko- und Compliancemanagement (GRC) spezialisierten Kanzlei Prof. Dr. Scherer, Dr. Rieger & Mittag Partnerschaft mbB, erstellt er wissenschaftliche Rechtsgutachten und agiert als Richter in Schiedsgerichtsverfahren.

Von 2001 - 2015 arbeitete er auch als Insolvenzverwalter in verschiedenen Amtsge-richtsbezirken.

Prof. Dr. Scherer fungiert in diversen Unternehmen / Körperschaften als Compliance-Ombudsmann sowie externer Compliancebeauftragter und ist gesuchter Referent bei Managementschulungen in namhaften Unternehmen sowie im Weiterbildungspro-gramm des Senders BR-alpha und der virtuellen Hochschule Bayern (VHB).

In Kooperation mit TÜV konzipierte er als Studiengangsleiter und Referent den seit 10 Jahren renommierten und akkreditierten berufsbegleitenden Masterstudiengang Risi-komanagement und Compliancemanagement an der Technischen Hochschule Deg-gendorf und ist als externer Gutachter bei der (System-)Akkreditierung von Weiterbil-dungsstudiengängen tätig.

Seit 2012 leitet er als Vorstand des Direktoriums das Internationale Institut für Gover-nance, Management, Risk- und Compliancemanagement der Technischen Hoch-schule Deggendorf als Kompetenzzentrum.

Außerdem ist er seit 2015 Mitglied des Beirates des Instituts für Risikomanagement und Regulierung (FIRM), Frankfurt (www.firm.fm).

Ebenso seit 2016 Mitglied des DIN-Normenausschusses Dienstleistungen (Arbeits-ausschuss Personalmanagement NA 159-01-19 AA) zur Erarbeitung von ISO/DIN-

37

Standards im Personalmanagement und seit

2017 Mitglied der Delegation ISO TC 309 Governance of organizations (Arbeitsaus-schuss Governance und Compliance NA 175-00-01-AA zur Erarbeitung von ISO/DIN-Standards im Bereich Unternehmensführung und -überwachung (Corporate Gover-nance), Compliance und whistle blowing). Seit 2016 fungiert er als fachlicher Leiter der „User Group Compliance“ der Energiefo-ren Leipzig.

Seine Forschungs- und Tätigkeitsschwerpunkte liegen auf den Gebieten Managerent-haftung, Governance-, Risiko- und Compliancemanagement, Integrierte Human Work-flow Managementsysteme und Digitalisierung sowie Vertrags-, Produkthaftungs-, Sa-nierungs- und Insolvenzrecht, Arbeitsrecht und Personalmanagement.

Prof. Dr. Scherer ist auf dem Gebiet angewandte Forschung und Lösungen / Tools im Bereich GRC, Digitalisierung und integrierte Workflow-Managementsysteme Gesell-schafter-Geschäftsführer der GRC-Process Solutions GmbH und der Governance-So-lutions GmbH.

Die Veröffentlichungen (auch zum kostenlosen Download) finden Sie unter www.gmrc.de

Kontakt: [email protected]

www.gmrc.de

38

Richter am Amtsgericht Klaus Fruth

Vorsitzender Richter des Schöffengerichts

Leiter der Sparte „Lehre“ am Internationalen Institut für Gover-nance, Management, Risk- und Compliancemanagement der Technischen Hochschule Deggendorf

Klaus Fruth studierte Jura an der Universität Passau.

Nach dem Staatsexamen arbeitete er in der Insolvenzverwaltung Professor Dr. Sche-rer. Anschließend war er mehrere Jahre Staatsanwalt bei den Staatsanwaltschaften in Deggendorf und Passau. Seit 2007 ist er Richter am Amtsgericht. Derzeit ist er beim Amtsgericht Freyung hauptsächlich als Strafrichter eingesetzt und dort als Vorsitzen-der des Schöffengerichtes in vielfältigen Compliance-Fällen entscheidend.

Seine Interessenschwerpunkte liegen im Bereich von Technik und Governance, Com-pliance, des Managerstrafrechts und des Wirtschaftsstrafrechts.

Er ist seit über 10 Jahren Lehrbeauftragter an der Technischen Hochschule Deggen-dorf (THD) u.a. für Governance und Compliance, Produkthaftungsrecht, Unterneh-mensrecht und Geschäftsführer- Compliance.

Zugleich verantwortet er an der THD im Studiengang BWL Bachelor die Durchgängig-keit eines geschlossenen Curriculums für Governance und Compliance.

Außerdem ist er Dozent u.a. für die TÜV-SÜD Akademie, sowie für die Hans-Lindner- Stiftung und im Rahmen von Inhouse-Schulungen sowie Modulverantwortlicher und Referent im berufsbegleitenden Masterstudiengang Risiko- und Compliancemanage-ment an der THD.

Seit 2014 übt er darüber hinaus die Funktion eines externen Compliance-Komitee-Mitglieds der THD (Zuständigkeit: Lehre) aus.

Er ist Leiter der Funktion „Praxis“ am Internationalen Institut für Governance, Manage-ment, Risk & Compliance.

Zusammen mit Prof. Dr. Scherer und dem Weiterbildungsinstitut der THD konzipierte er den weiterbildenden Zertifikatslehrgang „Governance, Risk und Compliance“.

39

Anlage 3: Bücher aus der gmrc-Reihe

www.gmrc-verlag.de

Bestellungen bitte an [email protected]

□ Scherer/Fruth (Hrsg.), Governance-Management – Band I, Grundsätze ordnungs-gemäßer Unternehmensführung (GoU) und -überwachung (GoÜ): Grundsätze ordnungsgemäßer (Corporate) Governance (GoGov) (2014) – ISBN 978-3-00-048186-4 – Preis: 19,90 EUR

□ Scherer/Fruth (Hrsg.), Governance-Management Band II (Standard & Audit) (2015) – ISBN 978-3-00-051342-8 – Preis: 19,90 EUR

□ Scherer/Fruth (Hrsg.), Anlagenband zu Governance-Management Band II (Stan-dard & Audit) (2016) – ISBN 978-3-00-053425-6 – Preis: 19,90 EUR

□ Scherer/Fruth (Hrsg.), Handbuch: Einführung in ein Integriertes Management- system „on demand“ mit Governance, Risk und Compliance (GRC) (mit e-Book) (2018) – ISBN 978-3-947301-09-6 – Preis: 15.- EUR

□ Scherer/Fruth (Hrsg.), Handbuch: Einführung in ein Integriertes Personal-Mana-gementsystem mit Governance, Risk und Compliance (GRC) (mit e-Book) (2018) – ISBN 978-3-947301-05-8 – Preis: 15.- EUR

□ Scherer/Fruth (Hrsg.), Handbuch: Einführung in ein Integriertes (Compliance-) Risiko-Managementsystem mit Governance, Risk und Compliance (GRC) (mit e-Book) (2018) – ISBN 978-3-947301-11-9 – Preis: 15.- EUR

□ Scherer/Fruth (Hrsg.), Handbuch: Einführung in ein Integriertes Compliance-Ma-nagementsystem mit Governance, Risk und Compliance (GRC) (mit e-Book) (2018) – ISBN 978-3-947301-04 – Preis: 15.- EUR

□ Scherer/Fruth (Hrsg.), Handbuch: Einführung in ein Integriertes Qualitäts-Mana-gementsystem mit Governance, Risk und Compliance (GRC) (mit e-Book) (2018) – ISBN 978-3-947301-04-1 – Preis: 15.- EUR

□ Scherer/Fruth (Hrsg.), Handbuch: Product Compliance, Vertragsmanagement und Qualitätsmanagement - Anlagenband zu Integriertes Qualitätsmanagement und Leistungserbringungsmanagement mit Governance, Risk und Compliance (GRC) (mit e-Book) (2018) – ISBN 978-3-947301-06-5 – Preis 15.- EUR

□ Scherer/Fruth (Hrsg.), Handbuch: Einführung in ein Integriertes Einkaufs-Manage-mentsystem mit Governance, Risk und Compliance (GRC) (mit e-Book) (2018)

GMRC - BPM-EXPO

Documents

Transcript of GMRC - BPM-EXPO